ファイルのインジケーターを作成
適用対象:
- Microsoft 365 Defender
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
ヒント
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
悪意のある可能性のあるファイルやマルウェアの疑いを禁止することで、組織内の攻撃をさらに拡散しないようにします。 悪意のある可能性のあるポータブル実行可能ファイル (PE) ファイルがわかっている場合は、それをブロックできます。 この操作により、組織内のデバイスで読み取り、書き込み、または実行されるのを防ぐことができます。
ファイルのインジケーターを作成する方法は 3 つあります。
- 設定ページでインジケーターを作成する
- ファイルの詳細ページの [インジケーターの追加] ボタンを使用してコンテキスト インジケーターを作成する
- Indicator API を使用してインジケーターを作成する
開始する前に
ファイルのインジケーターを作成する前に、次の前提条件を理解しておくことが重要です。
この機能は、組織がMicrosoft Defenderウイルス対策 (アクティブ モード) を使用していて、クラウドベースの保護が有効になっている場合に使用できます。 詳細については、「 クラウドベースの保護を管理する」を参照してください。
マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。 月次プラットフォームとエンジンのバージョンに関するページを参照してください
Windows 10バージョン 1703 以降、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows Server 2022 を持つデバイスでサポートされます。
注:
この機能を機能させるには、「Windows サーバーのオンボード」の手順を使用して、R2 のWindows Server 2016とWindows Server 2012をオンボードする必要があります。 許可、ブロック、修復アクションを含むカスタム ファイル インジケーターは、 macOS および Linux 用の強化されたマルウェア対策エンジン機能でも使用できるようになりました。
ファイルのブロックを開始するには、まず[設定] で [ブロックまたは許可] 機能を有効にする 必要があります。
この機能は、疑わしいマルウェア (または悪意のある可能性のあるファイル) が Web からダウンロードされないように設計されています。 現在、.exeファイルや.dllファイルなど、移植可能な実行可能ファイル (PE) ファイルがサポートされています。 カバレッジは時間の経過と同時に延長されます。
重要
Defender for Endpoint Plan 1 と Defender for Business では、ファイルをブロックまたは許可するインジケーターを作成できます。 Defender for Business では、インジケーターは環境全体に適用され、特定のデバイスにスコープを設定することはできません。
設定ページからファイルのインジケーターを作成する
ナビゲーション ウィンドウで、[ 設定>] [エンドポイント>インジケーター ] ( [ルール] の下) を選択します。
[ ファイル ハッシュ ] タブを選択します。
[ 項目の追加] を選択します。
次の詳細を指定します。
- インジケーター - エンティティの詳細を指定し、インジケーターの有効期限を定義します。
- [アクション] - 実行するアクションを指定し、説明を指定します。
- スコープ - デバイス グループのスコープを定義します (スコーピングは Defender for Business では使用できません)。
注:
デバイス グループの作成は、Defender for Endpoint Plan 1 とプラン 2 の両方でサポートされています
[概要] タブで詳細を確認し、[ 保存] を選択します。
ファイルの詳細ページからコンテキスト インジケーターを作成する
ファイルに対して応答アクションを実行する場合のオプションの 1 つは、ファイルのインジケーターを追加することです。 ファイルのインジケーター ハッシュを追加する場合は、組織内のデバイスがファイルの実行を試みるたびにアラートを生成し、ファイルをブロックすることができます。
インジケーターによって自動的にブロックされたファイルは、ファイルのアクション センターには表示されませんが、アラートは引き続きアラート キューに表示されます。
パブリック プレビュー: ファイル ブロック アクションに関するアラート
重要
このセクションの情報 (自動調査と修復エンジンのパブリック プレビュー) は、市販される前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
ファイル IOC に対して現在サポートされているアクションは、許可、監査、ブロック、修復です。 ファイルをブロックすることを選択した後、アラートをトリガーする必要があるかどうかを選択できます。 これにより、セキュリティ運用チームに対するアラートの数を制御し、必要なアラートのみが発生することを確認できます。
Microsoft 365 Defenderで、[エンドポイントインジケーター] [新しいファイル ハッシュの>>追加] の順>に移動します。
[ファイルをブロックして修復する] を選択します。
[ファイル ブロック イベントにアラートを生成する] を選択し、アラート設定を定義します。
- アラート タイトル
- アラートの重大度
- カテゴリ
- 説明
- 推奨処理
重要
- 通常、ファイル ブロックは数分以内に適用および削除されますが、30 分以上かかる場合があります。
- 適用の種類とターゲットが同じファイル IoC ポリシーが競合している場合は、より安全なハッシュのポリシーが適用されます。 SHA-256 ファイル ハッシュ IoC ポリシーは SHA-1 ファイル ハッシュ IoC ポリシーに勝ちます。これは、ハッシュの種類が同じファイルを定義している場合、MD5 ファイル ハッシュ IoC ポリシーに勝ちます。 これは、デバイス グループに関係なく常に当てはまります。
- それ以外の場合でも、同じ強制ターゲットを持つ競合ファイル IoC ポリシーがすべてのデバイスとデバイスのグループに適用された場合、デバイスの場合、デバイス グループ内のポリシーが優先されます。
- EnableFileHashComputation グループ ポリシーが無効になっている場合、ファイル IoC のブロック精度が低下します。 ただし、有効にするとデバイスのパフォーマンスに影響する
EnableFileHashComputation可能性があります。 たとえば、ネットワーク共有からローカル デバイス (特に VPN 接続経由) に大きなファイルをコピーすると、デバイスのパフォーマンスに影響する可能性があります。
EnableFileHashComputation グループ ポリシーの詳細については、「 Defender CSP」を参照してください。
Linux および macOS 上の Defender for Endpoint でこの機能を構成する方法の詳細については、「Linux で ファイル ハッシュ計算機能を構成する 」および「 macOS でファイル ハッシュ計算機能を構成する」を参照してください。
パブリック プレビュー: 高度なハンティング機能
重要
このセクションの情報 (自動調査および修復エンジンのパブリック プレビュー) は、市販される前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
事前ハンティングで応答アクション アクティビティに対してクエリを実行できます。 事前ハンティング クエリの例を次に示します。
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
高度なハンティングの詳細については、「高度なハンティング を使用して脅威を事前に検索する」を参照してください。
上記のサンプル クエリで使用できる他のスレッド名を次に示します。
ファイル:
- EUS:Win32/CustomEnterpriseBlock!cl
- EUS:Win32/CustomEnterpriseNoAlertBlock!cl
証明 書:
- EUS:Win32/CustomCertEnterpriseBlock!cl
応答アクション アクティビティは、デバイス タイムラインで表示することもできます。
ポリシーの競合処理
証明書とファイル IoC ポリシー処理の競合は、次の順序に従います。
- アプリケーション制御と AppLocker によってモード ポリシー/ポリシーが適用Windows Defenderファイルが許可されていない場合は、[ブロック]
- それ以外の場合は、Microsoft Defenderウイルス対策の除外によってファイルが許可されている場合は、[許可]
- それ以外の場合、ファイルがブロックまたは警告された場合、またはファイル IoC に警告する場合は、[ ブロック/警告]
- それ以外の場合、許可ファイル IoC ポリシーによってファイルが許可されている場合は、[ 許可]
- それ以外の場合、ファイルが ASR 規則、CFA、AV、SmartScreen、ブロックによってブロックされている場合
- Else Allow (Application Control & AppLocker ポリシー Windows Defender渡され、IoC 規則は適用されません)
注:
[Microsoft Defenderウイルス対策] が [ブロック] に設定されているが、Defender for Endpoint - Indicators - File hash または Certificate が [許可] に設定されている場合、ポリシーは既定で [許可] に設定されます。
適用の種類とターゲットが同じファイル IoC ポリシーが競合している場合は、より安全な (つまり長い) ハッシュのポリシーが適用されます。 たとえば、SHA-256 ファイル ハッシュ IoC ポリシーは、両方のハッシュの種類で同じファイルが定義されている場合、MD5 ファイル ハッシュ IoC ポリシーに勝ちます。
警告
ファイルと証明書のポリシー競合処理は、ドメイン/URL/IP アドレスのポリシー競合処理とは異なります。
Microsoft Defender 脆弱性の管理のブロック脆弱なアプリケーション機能は、適用のためにファイル IoC を使用し、上記の競合処理順序に従います。
例
| コンポーネント | コンポーネントの適用 | ファイル インジケーターアクション | 結果 |
|---|---|---|---|
| 攻撃面の縮小ファイル パスの除外 | 許可 | ブロック | ブロック |
| 攻撃面の縮小ルール | ブロック | 許可 | 許可 |
| Windows Defender Application Control | 許可 | ブロック | 許可 |
| Windows Defender Application Control | ブロック | 許可 | ブロック |
| Microsoft Defenderウイルス対策の除外 | 許可 | ブロック | 許可 |